De-Identifikasi Reversibel untuk Penelitian Klinis
Uji coba jangka panjang menghadapi pertukaran yang sulit. Pasien harus tetap tersembunyi selama studi berlangsung. Aturan IRB mengharuskannya. Kepercayaan pasien bergantung padanya. Namun sebuah temuan mungkin mengharuskan kontak ulang di kemudian hari. De-identifikasi permanen menghilangkan jalur tersebut. De-identifikasi reversibel menjaga jalur itu tetap terbuka.
Lihat bagaimana kami mendukung hal ini dalam ikhtisar kepatuhan dan praktik keamanan kami.
Masalah Kontak Ulang
Sebuah pusat onkologi menjalankan studi dengan 5.000 pasien. Di tengah uji coba, 47 pasien menunjukkan penanda yang terkait dengan jenis kanker agresif. Ini tidak termasuk dalam cakupan awal. Dewan etik meninjau temuan tersebut dan menyetujui kontak ulang. Kewajiban untuk memberi peringatan berlaku.
Jika de-identifikasi awal bersifat permanen, tim akan terjebak. Kode acak tanpa peta tidak memberi jalur kembali. 47 rekam medis tersebut tidak dapat dikaitkan dengan pasien nyata. Temuan tidak dapat ditindaklanjuti. Pasien yang mungkin membutuhkan perawatan tidak dapat dihubungi. Pengaturan privasi telah gagal pada titik paling kritisnya.
Ini bukan kejadian langka. Uji coba jangka panjang mana pun dapat menghasilkan temuan tak terduga. Doktrin kewajiban untuk memperingatkan mengharuskan tindakan ketika risiko ditemukan. Tanpa jalur re-identifikasi, tindakan tersebut tidak mungkin dilakukan.
Aturan Pemisahan Kunci GDPR
Pedoman EDPB 05/2022 membahas masalah ini secara langsung. Pseudonimisasi adalah langkah perlindungan data yang sah. Ini menjaga opsi re-identifikasi tetap terbuka. Proses yang disetujui dapat menggunakannya bila diperlukan.
Aturan intinya adalah pemisahan kunci. Kunci dekripsi harus disimpan terpisah dari data yang dipseudonimasikan. Kontrol harus memblokir akses yang tidak disetujui. Tim yang menggunakan data tidak boleh juga memegang kuncinya. Re-identifikasi harus melalui langkah formal yang tercatat.
Survei IAPP tahun 2024 menemukan bahwa hanya 23% alat anonimisasi yang menawarkan reversibilitas sejati. Sebagian besar menerapkan penyamaran permanen atau penggantian penuh. Metode tersebut memblokir kontak ulang yang diharuskan oleh kewajiban peringatan.
Cara Arsitekturnya Bekerja
Pengaturan yang patuh menggunakan enkripsi reversibel dengan AES-256-GCM. Setiap ID pasien diubah menjadi token. Pasien yang sama dipetakan ke token yang sama di semua file studi. Tautan data tetap utuh. Tidak ada ID mentah yang muncul dalam kumpulan data kerja.
Kunci dekripsi dipegang oleh kustodian data dan disimpan terpisah dari data. Setiap penggunaan kunci memerlukan permintaan tertulis yang disetujui.
Tim hanya bekerja dengan token selama analisis. Ketika 47 pasien yang terdampak ditandai, dewan etik menyetujui re-identifikasi. Kustodian menerapkan kunci hanya pada 47 rekam medis tersebut. Tim mendapatkan ID nyata untuk 47 pasien itu. Sementara 4.953 pasien lainnya tetap terlindungi.
Hanya re-identifikasi yang ditargetkan yang dimungkinkan. Sisa dataset tidak pernah disentuh.
Untuk perbandingan lebih lanjut antara pseudonimisasi dan anonimisasi penuh, lihat panduan GDPR anonimisasi vs pseudonimisasi kami.